6 августа с зараженного компьютера пользователя Контур.Диадока разослали zip-архивы с вредоносным программным обеспечением. Решение «Лаборатории Касперского» детектирует это вредоносное ПО как HEUR:Trojan.Win32.Agentb.gen.
Специалисты Контура (при содействии «Лаборатории Касперского») определили, что зараженные трояном компьютеры, управляются с серверов:

techbb[.]site
kogama[.]rest
maxboth[.]click
boxofwe[.]homes
minboth[.]click
95.181.226.238

Примеры хеш-сумм (список может расширяться):

34ca42e851acefa46a36ad01ab8f28e51f832a6c22622ab49d767caee75b8d2c
5c5a48c2d0f1b9695a0593b543f26b29e7e3612692e06d051f5c8b7ed00c27ef
9f4403cd493e7cc5980545f150ce9188817544db78e82413915c52031f51e857
a5d1d8ebf0efe272a7779ac26a8aba3b1d69a0b4678a37cc14287cd4d7273b16
c0461c68ad96bc01a7c31d5ad5fec48ee0db3e2112a10bb61ce38e1b8c8fbaaa

Ознакомиться с отчетом исследования одной из форм трояна
Цель злоумышленника — кража денег через системы дистанционного банковского обслуживания (ДБО). Кибератака была направлена на пользователей систем ДБО и иных сервисов отправки платежных поручений в различные банки.
Сам сервис Диадок не был взломан. Для вредоносной рассылки использовали стандартную возможность продукта — отправку документов из веб-приложения.
Чтобы избежать дальнейшего распространения вредоносного ПО, Контур.Диадок заблокировал отправку зараженных документов и удалил отправленные. За короткий промежуток между отправкой архива и его удалением из системы некоторые пользователи могли получить зараженные вложения и запустить их на своих рабочих местах.
Как определить наличие трояна
Троян можно обнаружить по следующим признакам:

Появление нового exe-файла с необычным названием в локальном каталоге пользователя, например, C:Users***AppDataLocalPepebekapKebopeb.exe или C:Users***AppDataLocalKakobebabeLebobobela.exe
Появление такого файла в списке автозагрузки.
Незапланированная установка программ удаленного доступа, таких как Anydesk или TeamViewer.

Действия Контура для локализации инцидента
За сутки специалисты Контура провели исследование и реверс-инжиниринг образцов вредоносного ПО с привлечением специалистов «Лаборатории Касперского». Установили индикаторы компрометации и признаки заражения систем клиентов.
В сервисе Контур.Диадок предприняты следующие меры:

Выявлены и пресечены процессы распространения трояна среди клиентов, включая выборочное ограничение функциональности сервиса.
Заблокированы вредоносные файлы в объектном хранилище сервиса.
Актуализированы средства и системы обнаружения вредоносного ПО.
Производится непрерывный контроль за попытками распространения вредоносных файлов.
Проведена адресная работа с пострадавшими клиентами и оказание помощи в устранении последствий инцидента.

Что делать, если вы получили неизвестный архив
Если вы получили архив, действуйте так же, как в случае с любым другим подозрительным файлом в почтовом сервисе — не запускайте содержащиеся в нем исполняемые файлы.
Так как троян направлен на хищение денежных средств через системы дистанционного-банковского обслуживания и иные системы формирования платежных документов, внимательно контролируйте платежные поручения, которые вы отправляете. Особое внимание уделите реестрам платежных поручений: как правило, банковский троян добавляет «мошенническую платежку» в пачку платежей.
Проконтролируйте доступы к электронным подписям, которые вы используете для подписания платежных поручений, а также старайтесь использовать многофакторную аутентификацию при работе с финансовыми транзакциями.